Mozilla Firefox, Vulnerabilidad

El día 05 de agosto, un usuario de Firefox informó que un sitio de noticias en Rusia estaba publicitando una vulnerabilidad (exploit) de Firefox que buscaba archivos sensibles y les ha subido a un servidor que parece estar en Ucrania. Mozilla lanzó actualizaciones de seguridad que corrigen la vulnerabilidad.

Firefox Exploit
Firefox Exploit

Se insta a todos los usuarios de Firefox a actualizar a Firefox 39.0.3. La solución también se ha hecho en Firefox ESR 38.1.1.

La vulnerabilidad proviene de la interacción del mecanismo que hace cumplir la separación de contexto JavaScript (la “misma política origen”) y el visor de PDF de Firefox. Productos de Mozilla que no contienen el Visor de PDF, como Firefox para Android, no son vulnerables. La vulnerabilidad no permite la ejecución de código arbitrario, pero el exploit fue capaz de inyectar una carga útil de JavaScript en el contexto de archivos local. Esto le permitió buscar y cargar archivos locales potencialmente sensibles.

Los archivos que estaba buscando eran sorprendentemente centrados para el exploit lanzado en el sitio de noticias que tiene un público general, aunque por supuesto no sabemos dónde más podría haber sido desplegado el anuncio malicioso. En Windows el exploit buscaban Subversion, s3browser y archivos de configuración Filezilla, .purple, información de la cuenta Psi+ y los archivos de configuración del sitio a partir de ocho diferentes clientes FTP populares. En Linux el exploit busca los archivos de configuración globales habituales, como /etc/passwd, y luego en todos los directorios de usuario que puede acceder a buscar, como es ~/.bash_history, ~/.pgsql_history, archivos de configuración ~/.ssh y llaves, archivos de configuración ~/.mysql_history y también de Remina, Filezilla y Psi+, archivos de texto con “pass” y “access” en los nombres y las secuencias de comandos de shell. Los usuarios de Mac no son el objetivo de este particular exploit pero no serían inmunes si alguien crear una carga diferente.

El exploit no deja rastro pues ha sido ejecutado en la máquina local. Si utiliza Firefox en Windows o Linux sería prudente cambiar las contraseñas y claves que se encuentran en los archivos mencionados anteriormente si utiliza los programas asociados. Las personas que usan el software de bloqueo de anuncios pueden haber sido protegidos de la explotación en función del software y filtros específicos que se utiliza pues necesita Javascript para ser executado.

Fuente: Blog Mozilla

BlackHat 2015, Vulnerabilidad en Thunderstrike de Mac OS X

Se espera que un nuevo ataque contra firmware de Intel que se ejecuta en los ordenadores de Apple que se hará público en la conferencia Black Hat 2015 de esta semana. La investigación es una extensión del bootkit firmware Thunderstrike Mac OS X que se dió a conocer esta primavera que permite la instalación de firmware indetectable malicioso que sobrevive a reinicios y reinstalaciones del sistema operativo.

BlackHat 2015 Thunderstrike
BlackHat 2015 Thunderstrike

Thunderstrike 2 es diferente de su predecesor en que un atacante no sería necesario el acceso físico a un Macbook; este ataque se puede realizar de forma remota y explota auto-replicarse a través de los periféricos, dijeron los investigadores.

El trabajo es una colaboración entre la ingeniería inversa aficionado y seguridad investigador Trammell Hudson y Xeno Kovah de Legbacore. Hay cerca de media docena de vulnerabilidades de firmware en riesgo de explotación que han sido dadas a conocer hace unos meses a Apple. Apple ha parcheado algunos de de estos temas, pero otros permanecen y las dos partes todavía están trabajando en una resolución.

Las vulnerabilidades descubiertas por firmware Kovah y su colega Corey Kallenberg viven en el hardware utilizados en las plataformas Windows y Apple. El problema es que las fallas han sido parcheado en la implementación de referencia para UEFI en otras plataformas Intel. En el caso de Apple, la compañía ha dicho en el pasado su firmware no se vio afectado; todo el firmware en cuestión, sin embargo, se deriva de la misma implementación de referencia de Intel, dijeron los investigadores.

Ataques de firmware son excepcionalmente compleja de lograr, que requiere experiencia y los recursos financieros para ejecutar. En feberero, los investigadores de Kaspersky Lab revelaron un ataque firmware desarrollado y ejecutado por un agente del Estado-nación conocido como el Grupo de ecuaciones. Entre sus muchas capacidades era un módulo de hardware llaman nls_933w.dll que los investigadores llamaron el “mecanismo de persistencia final”, que reservaba sólo a los objetivos de alto valor-y uno que requiere acceso a la documentación propia para una serie de proveedores de hardware para entender cómo cada uno de el firmware correspondiente opera.

El resultado final da un determinado acceso de hackers indiscriminado de nivel raíz a un ordenador y la posibilidad de añadir otros ataques para robar datos y mover tranquilamente a voluntad sobre la máquina.

FBI, con problemas de contratación de hackers

El FBI está teniendo problemas para llenar puestos de trabajo para sus programas de ciberseguridad debido comparativamente a los bajos salarios y rigurosos controles de antecedentes, dice un informe de auditoría.FBI con problemas de contratación

La oficina del Departamento de Justicia, ha publicado el jueves que el FBI no ha contratado a 52 de los 134 científicos de la computación para el que fue autorizado, y que 5 de sus 56 oficinas en el terreno no tenía un científico de la computación por su Grupo de Trabajo del Cyber.

El informe dijo que el FBI tiene que centrarse en “reclutar y retener a los profesionales cibernéticos altamente cualificados, con formación técnica”, y para ampliar la cooperación con el sector privado para luchar contra las amenazas cibernéticas.

“El reclutamiento y la retención de candidatos cualificados siguen siendo un desafío para el FBI, como entidades del sector privado a menudo son capaces de ofrecer salarios más altos y por lo general tienen un menos extenso proceso de investigación de antecedentes”, dijo el informe.

“Creemos que el FBI debería continuar sus esfuerzos de reclutamiento y retención creativas, incluyendo el uso selectivo de la (programa de pago de préstamos estudiantiles) y aumentar la movilidad de los ex empleados con habilidades críticas, para atraer y retener a profesionales altamente cualificados cibernéticos.”

El informe del inspector general dijo que el FBI ha tratado de llenar los vacíos al trabajar con contratistas privados, y también ha intensificado los programas de contratación y formación en los colegios y universidades.

El informe dijo que mientras que el reclutamiento es difícil, “la mayoría de los agentes cibernéticos del FBI que entrevistamos nos dijeron que es la misión de la FBI que les motiva a permanecer en el FBI en lugar de salir hacia posiciones más lucrativas.”

El informe parece confirmar la evidencia anecdótica sobre las relaciones difíciles entre el establecimiento y la tecnología de seguridad de la industria estadounidense, que han empeorado desde los 2.013 revelaciones sobre vastos programas de vigilancia del gobierno estadounidense.

El informe señaló que el FBI también se ve obstaculizada en sus esfuerzos para impulsar los esfuerzos de seguridad cibernética por la falta de cooperación por parte del sector privado.

“La renuencia del sector privado para compartir información se ha visto afectada además por la desconfianza en el gobierno tras las filtraciones Edward Snowden” acerca de los programas de vigilancia de Estados Unidos, según el informe.

“Varios representantes del sector privado nos dijeron que el suministro de información al FBI es similar a enviarlo en un agujero negro – la información que entra y las entidades no escuchar nada más sobre él.”

El informe dijo que el FBI debería “redoblar sus esfuerzos de divulgación para mejorar el intercambio y la colaboración con entidades del sector privado” cuando sea factible.

 

Fuente: SecurityWeek

Netflix en Velocity 2015, Herramientas de rendimiento en Linux

Hay muchas herramientas de rendimiento hoy en día para Linux, pero ¿cómo se encajan entre sí, y cuando las usamos? En Velocity 2015, le di un tutorial 90 minutos en herramientas de rendimiento de Linux.

Herramientas de rendimiento en Linux
Herramientas de rendimiento en Linux

He hablado sobre este tema antes, pero teniendo en cuenta un intervalo de tiempo 90 minutos tuve la

oportunidad de incluir más metodologías, herramientas y demostraciones en vivo, por lo que es el tour más completo del tema que he hecho. El vídeo y las diapositivas están por debajo.

En este tutorial voy a resumir las herramientas tradicionales y avanzadas de rendimiento, incluyendo: top, ps, vmstat, iostat, mpstat, libre, strace, tcpdump, netstat, nicstat, pidstat, swapon, lsof, sar, ss, iptraf, iotop, slaptop, pcstat , tiptop, rdmsr, lmbench, fio, pchar, perf_events, ftrace, SystemTap, KTAP, sysdig y EBPF; y hacer referencia a muchos más. También incluyo herramientas, diagramas actualizados para observabilidad, sar, benchmarking, y tuning (incluyendo la imagen de arriba).

Este tutorial se puede compartir con un público amplio – cualquier persona que trabaje en los sistemas Linux – como un curso acelerado de herramientas gratuitas sobre el rendimiento de Linux. Espero que la gente lo disfrute y les resulta útil. Aquí está la lista de reproducción.

Video Part 1

Video Parte 2:

 

Enlace a las diapositivas:

 

 

Fuente: netflix

ICWATCH: Espiando a los espías

Un adolescente de 21 años  acaba de exponer 27 mil perfiles de LinkedIn de personas que trabajan en el sector de inteligencia. Lo hizo hace pocos días en re:publica, una de las conferencias más importantes a nivel global sobre cultura digital –este año tuvo 800 expositores de 45 países distintos para sus cerca de seis mil visitantes, utilizó el buscador de Google para ubicar términos clave que, hasta hace poco, eran palabras sin significado para la mayoría de nosotros.

xkeyscore site:linkedin.com/pub
xkeyscore site:linkedin.com/pub

XKEYSCORE es uno de los programas de espionaje utilizado por la NSA y revelado al público por Edward Snowden. Utilizando ese término y limitándolo a los perfiles de LinkedIn, uno puede encontrar cientos, sino miles de perfiles de personas que presumen esa como una de sus destrezas. Si uno repite este tipo de operaciones con el catálogo de vigilancia que tienen las grandes agencias de espionaje, puede fácilmente construir una base de datos de miles de espías internacionales. Por supuesto, hay que tener cuidado porque ciertos términos, como “MUSCULAR”, son muy comunes y hay que realizar búsquedas cruzadas para no tener falsos positivos.

ICWATCH

La información no sólo ha sido recolectada y almacenada, sino que además la han organizado dentro de un motor de búsqueda para que cualquiera pueda jugar con los datos. “Yo no creo que todos sean personas malas” dijo M. C., y nos relató como una persona, tras trabajar veinte años en la comunidad de inteligencia, describe cómo en uno de sus últimos puestos antes de convertirse en vendedor de autos “hizo lobby para cambiar la forma cómo se concibe la inteligencia”. Tal vez él, como muchas otras personas que trabajaron en este campo, fue una de las víctimas de lo que se denomina el efecto Snowden.

ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos
ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos

A partir de las revelaciones del ex-agente de la NSA, cada vez menos personas asociaban su perfil con trabajar en la agencia nacional de seguridad de Estados Unidos, puede que simplemente quisieran ocultar el rastro, pero muchos ciertamente renunciaron a su trabajo.

Esta fue la primera vez que la herramienta ICWATCH fue mostrada al público, la misma se encuentra en Github junto con los datos, lo cual será de especial interés para aquellos que trabajan en periodismo, minería de datos, transparencia y contrainteligencia.

Aquí el video completo (en inglés):

 

 

Fuente: Andres Delgado

JetPack y TwentyFifteen Vulnerable a DOM-based XSS

JetPack y TwentyFifteen vulnerables.

Cualquier Plugin de WordPress o tema que aprovecha el paquete genericons es vulnerable a una DOM-based Cross-Site Scripting (XSS) debido a un archivo inseguro incluido con genericons. Hasta el momento, el plugin JetPack (informó de que tiene más de 1 millón de instalaciones activas) y el tema TwentyFifteen (instalado por defecto) se encuentran ser vulnerable. El número exacto es difícil de entender, pero el plugin y el tema son instalaciones por defecto en millones de WordPress instala. El tema principal aquí es el paquete genericons, por lo que cualquier plugin que hace uso de este paquete es potencialmente vulnerable si se incluye el archivo example.html que viene con el paquete.

DOM-based XSS

La vulnerabilidad XSS es muy fácil de explotar y sucede a nivel Document Object Model (DOM). Si usted no está familiarizado con los ataques del DOM, el grupo de OWASP lo explica aqui bien:

DOM- based XSS es un ataque XSS en el que la carga útil de ataque se ejecuta como resultado de la modificación del Document Object Model (DOM) “medio ambiente” en el navegador de la víctima utilizado el script del lado del cliente original, por lo que el código del lado del cliente se ejecuta en un manera “inesperada”. Es decir, la propia página (la respuesta HTTP que es) no cambia, pero el código de cliente que figura en la página ejecuta de manera diferente debido a las modificaciones maliciosas que se han producido en el entorno de DOM.

Eso significa que la carga útil XSS nunca se envía hacia el lado del servidor y se ejecuta directamente en el navegador. Así que incluso alguien que use nuestra Sitio Web Firewall, puede ser vulnerable ya que nunca tiene la oportunidad de verlo. En este caso, hemos sido capaces de arreglar prácticamente el exploit, pero DOM-based XSS es muy difícil de bloquear.

DOM-based XSS también son un poco más difíciles de explotar, ya que requiere un cierto nivel de ingeniería social para conseguir que alguien haga clic en el enlace de explotar. Sin embargo, una vez que logren hacer esto, proporciona el mismo nivel del acceso que otros tipos de ataques de XSS (reflejado o almacenado).

0-days in the wild

Lo interesante de este ataque es que lo detectamos en los días antes de la divulgación. Conseguimos un informe sobre ello y algunos de nuestros clientes también conseguían informes que dicen que eran vulnerables y señalaban a:

http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1< img/ src=1 onerror= alert(1)>

En esta prueba de concepto, el XSS impreso una alerta de javascript, pero podría ser utilizado para ejecutar javascript en tu navegador y hacerse cargo de la web si ha iniciado sesión como administrador.

Elimine el archivo genericons/example.html

Afortunadamente, la solución para esto es bastante sencillo. Elimine el archivo genericons/example.html o asegúrese de que tiene un WAF o IDS que está bloqueando el acceso a la misma. Debido a la baja gravedad, pero el impacto masivo, tendimos la mano a nuestra red de recibir relaciones en un intento de remendar prácticamente esto para millones de usuarios de WordPress tan pronto como sea posible.

Los anfitriones siguientes deberían haber remendado prácticamente o haber endurecido sus ambientes de esta cuestión desde hace una semana:

  • GoDaddy
  • HostPapa
  • DreamHost
  • ClickHost
  • Inmotion
  • WPEngine
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

No podemos olvidar uno de los principios básicos de la seguridad, en el que debemos mantener un ambiente prístino de la producción. Esto significa que quitar debug o archivos de prueba antes de que se mude a la producción. En este caso, Automattic y el equipo de WordPress dejaron un archivo simple ejemplo.html que había encajada la vulnerabilidad. Lo qué es más preocupante aquí es el alcanzar el plugin y el tema se han combinado; que se instalan en muchos casos, por defecto en todas las instalaciones de WordPress. Simple descuido, que podría tener devastadores impactos en incautos propietarios de páginas web y las empresas.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de nuestro Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de Sucuri Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

 

Texto obtenido de Sucuri

POSH-SECMOD: Herramientas de seguridad en PoweShell

Uno de los primeros y más potentes frameworks de seguridad en powershell es Posh-SecMod, creado por Carlos Perez este conjunto de herramientas facilita decenas de tareas para cualquier experto en seguridad.
Las funciones están divididas en distintas categorías: Discovery; con descubrimiento de redes, Parse; importa resultados de otras herramientas como Nmap o DNSRecon, PostExplotation; funciones para facilitar la tarea de post explotación, Registry; para manipular el registro de un sistema remoto vía WMI, Utilities; con herramientas varias, Audit; con los que obtener información del sistema, Database; para la manipulación de bases de datos,
 
Adicionalmente y ahora en otros repositorios, también hay módulos “Posh” para Shodan; que con la correspondiente API facilita su consulta, VirusTotal; al igual que la anterior, gestión de la plataforma vía powershell y Metasploit; funciones para interactuar con el famoso framework de explotación de vulnerabilidades mediante el uso de la API XMLRPC y Nessus; con funciones que hacen posible la gestión de este escáner de vulnerabilidades en su versión 5.

Instalar el framework es tan sencillo como invocar desde powershell los comandos que se muestran en la imagen.

Instalación de Posh-SecMod

Una vez se instala las funciones quedan disponibles para invocarse según sean necesarias. Son demasiadas para enumerarlas todas, pero al finalizar el proceso se listan.

Del grupo de Discovery, destacan utilidades para detectar puertos abiertos, sistemas que responden a ping, o ARP. También es posible hacer resolución inversa de DNS, o consultas de registros SRV.

Funciones de Discovery

De la parte de post explotación un buen ejemplo es PostHashdumpScript, que permite volcar las hashes de la SAM como las conocidas herramientas del tipo hashdump/pwdmp.

Ejemplo del funcionamiento de Get-PostHashdumpScript

Las utilidades para conectar con distintas APIs son muy prácticas y seguro que son utilizadas por nuestros lectores para sus propios scripts. La siguiente imagen muestra la sencillez de instalar y lanzar un análisis de un ejecutable contra la plataforma de VirusTotal con Posh-VirusTotal.

Instalación y ejecución de Posh-VirusTotal

 

Texto obtenido de securitybydefault.com

Facebook confirma las videollamadas en Messenger

El día de hoy Facebook confirmó las videollamadas en Messenger, que permitirán tener conversaciones con tus contactos de Facebook a través de Messenger.

Messenger ya ofrece a los usuarios la función de llamadas de voz a sus amigos y gente de tu interés alrededor del mundo, lo cual representa más del 10% de todas las llamadas de voz sobre el protocolo de internet móvil a nivel global.

Videollamadas en Facebook
Las videollamadas ampliarán las comunicaciones en tiempo real de Messenger, permitiendo a más de 600 millones de personas que usan Messenger llegar a sus contactos en cualquier parte del mundo de manera rápida, segura y con alta calidad.

Las videollamadas en Messenger están disponibles para llamadas hechas de un celular a otro celular y no habrá problemas de incompatibilidad entre iOS y Android.

Con este anuncio y la muy reciente liberación de la función de llamadas en Whatsapp, Facebook se perfila como uno de los monopolios más poderosos dentro de la mensajería instantánea.

Lo cual puede ser visto como un monopolio por algunos suspicaces.

 

Fuente: time.commessenger.com

Apple Watch dorado sin gastar $12,000 USD

Obviamente solo sirve para quienes en realidad ven el valor practico del dispositivo, quienes si, quieren que se vea dorado pero no tienen que demostrarle al mundo su existencia gastando $12,000 USD en un gadget que no vale no la décima parte de eso. En este video el Apple Watch quedará idéntico.

Ahora lo mejor de todo, cuidado con las imitaciones, no te vayan a vender un dorado barato y te vendan gato por liebre.

WordPress, Critical Persistent XSS 0day

Yes, you’ve read it right: a critical, unpatched 0-day vulnerability affecting WordPress’ comment mechanisms was disclosed earlier today by Klikki Oy.

Who’s affected

If your WordPress site allows users to post comments via the WordPress commenting system, you’re at risk. An attacker could leverage a bug in the way comments are stored in the site’s database to insert malicious scripts on your site, thus potentially allowing them to infect your visitors with malware, inject SEO spam or even insert backdoor in the site’s code if the code runs when in a logged-in administrator browser.

You should definitely disable comments on your site until a patch is made available or leverage a WAF to protect your site and customers.

Technical details

This vulnerability requires an attacker to send a comment long enough to force the backend MySQL database to truncate what is stored.

 

WordPress Database Schema

As you can see from the above schema, the comments texts are stored in the comment_content column which is a TEXT column, meaning a comment can only contain a maximum of 65535 bytes of data.

A typical exploit would look like the following:

<a href='x onclick=alert(1) AAAAAAAAAAAAAA..(multiplied so our comment contains more than 65k bytes)'>test</a>

Once taken back from the database would look like this:

<p><a href='x onclick=alert(1) AAAAAAA</p>

Some of you might have noticed that the resulting HTML tag isn’t complete, but this isn’t a problem for most modern browsers as most of them will simply patch it up automatically

This bug then allows anyone to insert any HTML tag attributes to his hyperlink, including Javascript event handlers.

What you can do

There’s a few thing you can do to prevent getting hacked before there’s an official patch being released: You can disable comments on your site or leverage a Web Application Firewall to filter good requests from exploit attempts.

WordPress PoC

Enter as a comment text:


<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

 

Hopefully the WordPress team will release a patch soon.

 

Source: Sucuri Blog and Klikki.fi Blog